Следующая версия Mozilla Firefox будет содержать новый список отозванных сертификатов, что ускорит процесс отзыва промежуточных сертификатов, доверяемых браузером.

Новая функция, известная как OneCRL, предназначена для замены старого протокола OCSP (от англ. Online Certificate Status Protocol — «онлайн-протокол статуса сертификата»), который использовался для проверки статуса определенного сертификата. Работа протокола основывается на серверах OCSP, которые содержат удостоверяющие центры, поддерживающие на них списки своих сертификатов. Эти серверы обрабатывают запросы клиентов о статусе сертификата, отвечая, действителен сертификат, аннулирован или неизвестен.

Этот процесс может быть весьма медленным, также встречается такая проблема, что ответчик OCSP не может определить статус сертификата.

«Принципиальный вопрос заключается в том, как поступать в случаях, когда вы не можете получить ответ о статусе аннулирования сертификата. Если вы не принимаете сертификаты, по которым не можете получить ответ, это называется жестким отказом (hard-fail). Если вы принимаете сертификаты, по которым вы не можете получить ответ, это называется мягким отказом (soft-fail), — написал в прошлом году Адам Лэнгли (Adam Langley), инженер-безопасник из Google, объясняя проблему статуса аннулирования после обнаружения Heartbleed. — Все придерживаются политики мягкого отказа по ряду причин, в основном исходя из общего принципа, что следует избегать единых точек отказа. Во-первых, Интернет — шумное место, и порой вы просто можете не докричаться до серверов OCSP по какой-либо причине. Если у вас есть такая проблема, число случайных ошибок вырастает. Также порталы авторизации (например, в гостиничных Wi-Fi-сетях, где вам нужно авторизоваться перед тем, как использовать Интернет) часто используют HTTPS (который требует сертификаты), но не позволяют вам обращаться к серверам OCSP. Наконец, если все будут придерживаться жестких отказов, тогда сбой сервиса OCSP вызовет сбой множества интернет-сайтов. Это означало бы, что дидосеры обратили бы на них свое внимание, что радикально повысило бы стоимость содержания серверов OCSP, и не факт, что удостоверяющие центры могут позволить себе это».

Функция OneCRL, которую будет содержать Firefox 37, разработана для решения некоторых из этих проблем путем загрузки списка аннулированных сертификатов в браузер. Чтобы сертификат был добавлен в этот список, его автор должен уведомить Mozilla о необходимости отозвать данный сертификат.

«OneCRL помогает ускорить проверку аннулирования путем поддержания централизованного списка отозванных сертификатов и загрузки его в браузеры. В данный момент, если случится серьезный инцидент, требующий отзыва сертификата, мы выпускаем обновление для Firefox, чтобы решить эту проблему. Это медленно, так как пользователям требуется время, чтобы загрузить обновление и перезапустить браузеры. Это также требует денег на разработку обновления (и загрузку его пользователями), — написал в блоге Марк Гудвин (Mark Goodwin) из Mozilla. — Firefox уже оснащен механизмом, периодически проверяющим наличие проблем, способных повредить пользователям, который называется blocklisting. OneCRL распространяет эту технологию и на отозванные сертификаты в дополнение к расширениям, плагинам и глючным графическим драйверам, которые в данный момент входят в список блокировки. Это позволит пользователям получать преимущества свежей информации об аннулировании без необходимости обновлять и перезапускать браузеры».

Версия OneCRL, которая будет содержаться в Firefox 37, будет работать лишь с промежуточными сертификатами, что сделано для уменьшения размера списка блокировки в первое время.

— See more at: https://threatpost.ru/2015/03/06/firefox37-budet-soderzhat-novyj-spisok-annulirovannyh-sertifikatov-onecrl/#sthash.hp8Kwof3.dpuf